Application de l’utilisation d’IPAM pour la création de VPC avec les SCP - Amazon Virtual Private Cloud
Appliquer IPAM lors de la création de VPCAppliquer un groupe IPAM lors de la création de VPCAppliquer IPAM à toutes les unités d'organisation à l'exception d'une liste donnée

Application de l’utilisation d’IPAM pour la création de VPC avec les SCP

Note

Cette section s'applique à vous uniquement si vous avez activé l'intégration d'IPAM à AWS Organizations. Pour plus d'informations, consultez Intégration d'IPAM aux comptes d'une organisation AWS.

Cette section décrit comment créer une politique de contrôle de service dans AWS Organizations qui oblige les membres de votre organisation à utiliser IPAM lorsqu'ils créent un VPC. Les politiques de contrôle des services (SCP) constituent un type de stratégie d'organisation que vous pouvez utiliser pour gérer les autorisations dans votre organisation. Pour plus d'informations, consultez la section Politiques de contrôle de service du Guide de l'utilisateur AWS Organizations.

Appliquer IPAM lors de la création de VPC

Suivez les étapes de cette section pour obliger les membres de votre organisation à utiliser IPAM lors de la création de VPC.

Créer une politique de contrôle de service (SCP) et restreindre la création de VPC à IPAM

  1. Suivez les étapes décrites dans la section Create a service control policy du Guide d’utilisation d’AWS Organizations et saisissez le texte suivant dans l’éditeur JSON :

    JSON
    {
    "Version":"2012-10-17",		 	 	 
    "Statement": [{
       "Effect": "Deny",
        "Action": ["ec2:CreateVpc", "ec2:AssociateVpcCidrBlock"],
        "Resource": "arn:aws:ec2:*:*:vpc/*",
        "Condition": {
            "Null": {
                "ec2:Ipv4IpamPoolId": "true"
            }
        }
     }]
}

  2. Associez la stratégie à une ou plusieurs unités organisationnelles de votre organisation. Pour plus d’informations, consultez les sections sur l’attachement et le détachement de politiques dans le Guide d’utilisation d’AWS Organizations.

Appliquer un groupe IPAM lors de la création de VPC

Suivez les étapes de cette section pour obliger les membres de votre organisation à utiliser un groupe IPAM spécifique lors de la création de VPC.

Créer une politique de contrôle de service (SCP) et restreindre la création de VPC à un groupe IPAM

  1. Suivez les étapes décrites dans la section Create a service control policy du Guide d’utilisation d’AWS Organizations et saisissez le texte suivant dans l’éditeur JSON :

    JSON
    {
    "Version":"2012-10-17",		 	 	 
    "Statement": [{
        "Effect": "Deny",
        "Action": ["ec2:CreateVpc", "ec2:AssociateVpcCidrBlock"],
        "Resource": "arn:aws:ec2:*:*:vpc/*",
        "Condition": {
            "StringNotEquals": {
                "ec2:Ipv4IpamPoolId": "ipam-pool-0123456789abcdefg"
            }
          }
    }]
}

  2. Modifiez l'exemple de valeur ipam-pool-0123456789abcdefg de l'ID de groupe IPv4 auquel vous souhaitez restreindre les utilisateurs.

  3. Associez la stratégie à une ou plusieurs unités organisationnelles de votre organisation. Pour plus d’informations, consultez les sections sur l’attachement et le détachement de politiques dans le Guide d’utilisation d’AWS Organizations.

Appliquer IPAM à toutes les unités d'organisation à l'exception d'une liste donnée

Suivez les étapes décrites dans cette section pour appliquer IPAM à toutes les unités d'organisation (UO), à l'exception d'une liste donnée. La politique décrite dans cette section exige que les UO de l'organisation, à l'exception des UO que vous spécifiez dans aws:PrincipalOrgPaths, utilisent IPAM pour créer et développer des VPC. Les UO répertoriées peuvent utiliser IPAM lors de la création de VPC ou spécifier une plage d'adresses IP manuellement.

Pour créer un SCP et appliquer IPAM à toutes les UO à l'exception d'une liste donnée

  1. Suivez les étapes décrites dans la section Create a service control policy du Guide d’utilisation d’AWS Organizations et saisissez le texte suivant dans l’éditeur JSON :

    JSON
    {
    "Version":"2012-10-17",		 	 	 
    "Statement": [{
	"Effect": "Deny",
	    "Action": ["ec2:CreateVpc", "ec2:AssociateVpcCidrBlock"],
	    "Resource": "arn:aws:ec2:*:*:vpc/*",
	    "Condition": {
	        "Null": {
		      "ec2:Ipv4IpamPoolId": "true"
                },
	        "ForAnyValue:StringNotLike": {
	            "aws:PrincipalOrgPaths": [
	                "o-a1b2c3d4e5/r-ab12/ou-ab12-11111111/ou-ab12-22222222/",
	                "o-a1b2c3d4e5/r-ab12/ou-ab13-22222222/ou-ab13-33333333/"
	            ]
                }
            }
     }]
}

  2. Supprimez les valeurs de l'exemple (comme o-a1b2c3d4e5/r-ab12/ou-ab12-11111111/ou-ab12-22222222/) et ajoutez les chemins de l'entité des AWS Organizations des UO pour lesquelles vous voulez avoir la possibilité (mais pas l'obligation) d'utiliser IPAM. Pour plus d’informations sur le chemin d’entité, consultez les sections Understand the AWS Organizations entity path et aws:PrincipalOrgPaths dans le Guide d’utilisation d’IAM.

  3. Attachez la politique à la racine de votre organisation. Pour plus d’informations, consultez les sections sur l’attachement et le détachement de politiques dans le Guide d’utilisation d’AWS Organizations.